Показано с 1 по 4 из 4.

Backdoor.Win32.IRCBot.csk (заявка № 30775)

  1. #1
    Junior Member Репутация
    Регистрация
    23.09.2008
    Сообщений
    2
    Вес репутации
    35

    Backdoor.Win32.IRCBot.csk

    На машине стоял NOD32. Компьютер вдруг начал при загрузке самопроизвольно перезагружатся после окна приветствия Windows.
    На данный момент проблемка следующая: в C:\WINDOWS\TEMP\ появляются файлы вида 1.tmp, 2.tmp ... A.tmp... 1.sys 2.sys ... A.sys...
    После долгих манипуляций (до того как перенакатили ОС) , система, начала загружатсья с ошибкой файла winlogon.exe, типа, "...память не может быть read...". После перезаливки ОС система почти постоянно вываливает синий экран с дампом памяти с сылкой на один из вышеупомянутых sys-файлов. Кроме всего в процессах постоянно появляется и пропадает парочка запущеных IEXPLORE.EXE при этом растет размер занимаемой памяти файлом winlogon.exe. Через некоторое время загрузка процессора под 100 (пока файл IEXPLORE.EXE был перемещен со своего родного места, тем самым решается проблема загрузки процессора, и можно хоть что-то сделать с системой). Дальше, в корне папки WINDOWS появляется файл T.sys (пока подменен пустым текстовым файлом с атрибутом только для чтения). После проведения пунткта 9 правил, перед этим добившись, чтоб система таки загрузилась, опять имеем синий экран.
    После этого для загрузке в обычном режиме приходится в Безопасном Web'ом и руками удалить файлы *.sys *.tmp из папки C:\WINDOWS\TEMP и AVZ почистить кеш.
    Много чего делалось. Пока ничего больше умного в голову не пришло.
    Заранее благодарю.
    З.Ы. При удачной загрузке поставили Каспера 7 персонал. Он именно эти файлы сис и тмп и окрестил Backdoor.Win32.IRCBot.csk, DrWEB же файлы опозноет как Trojan.EmailSpy.133 и 137. Так вот Каспер, после пары попыток вылечить файлы, просто выгрузился.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Ryf84');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Ryf84.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Lrw06.sys','');
     DeleteService('Lrw06');
     DeleteFile('C:\WINDOWS\System32\Drivers\Lrw06.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно пиложения 2 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    23.09.2008
    Сообщений
    2
    Вес репутации
    35
    Большое спасибо. Подсказку нашел http://virusinfo.info/showthread.php...light=SpamTool.
    Все стало на свои места. Единственное, папка Settings с файлами arm32.dll и arm64.dll лежала прямо в корне диска С. Я ее принимал как файлы програмки бухучета АРМ, а зря. После удаления папки смог вернуть IEXPLORE.EXE на место. СИС и ТМП файлы больше самопроизвольно не пладились. Файл Т.sys тоже не восстанавливался.
    Фалов же
    C:\WINDOWS\System32\Drivers\Ryf84.sys С:\WINDOWS\System32\Drivers\Lrw06.sys
    нет. Скрипт не выполнял.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Если Вы отказываетесь выполнять указания хелперов, или делаете все по-своему, не удивляйтесь тому, что Ваша тема может быть закрыта.

  • Уважаемый(ая) LomasterPAS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Backdoor.Win32.IRCBot.mle
      От wanderer в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.10.2009, 21:09
    2. Backdoor.Win32.IRCBot.lmf
      От dolphin_al в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.10.2009, 12:56
    3. Backdoor.Win32.IRCBot.lha
      От Reanimator177 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 21.07.2009, 11:14
    4. Backdoor.Win32.IRCBot
      От Johnick в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 01:40
    5. Backdoor.Win32.IRCBot.wt
      От Demien в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 17.06.2007, 17:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00966 seconds with 17 queries